搜索
网络案件侦查及黑客追踪蓝盾安全实验室网络案件侦查及黑客追踪•网络案件的侦查过程•蓝盾网络侦查&黑客追踪系统蓝盾安全实验室第一部分网络案件的侦查过程•黑客攻击手法•网络入侵的痕迹•手工侦查过程•手工侦查的难点蓝盾安全实验室一、黑客攻击手法•扫描目标主机安全漏洞•选择可利用的漏洞•针对该漏洞入侵目标主机•获取目标主机的访问权限•获取目标主机信息或控制目标主机蓝盾安全实验室扫描选择漏洞攻击获取权限控制目标一、黑客攻击手法1、扫描扫描过程会在日志系统中留下痕迹。如:扫描web-iis的漏洞时将在IIS日志文件中留下记录。蓝盾安全实验室扫描日志系统一、黑客攻击手法2、攻击黑客的攻击过程时也会留下痕迹。如:植入木马会在注册表、进程表中留下痕迹;使用缓冲溢出漏洞时系统日志中会留下痕迹。蓝盾安全实验室一、黑客攻击手法3、获取权限黑客入侵成功后通常会在用户帐号系统中建立新帐号,或提升其他帐号的访问权限,因此在用户帐号中也可能留有入侵的痕迹。蓝盾安全实验室一、黑客攻击手法4、控制黑客在控制目标主机的过程中也会留下痕迹。如:远程控制时在网络连接、网络通信内容中会留下痕迹。蓝盾安全实验室一、黑客攻击手法5、隐藏攻击源真实地址的攻击手法黑客通过一台或多台肉机来隐藏自己。蓝盾安全实验室攻击发起主机肉机被攻击主机二、网络入侵的痕迹•系统日志—缓冲溢出等攻击可在此留下痕迹•服务日志—对服务的攻击会在日志中留下痕迹•电子邮件—有的入侵是通过邮件载入木马的•COOKIES—可从COOKIE和历史文件中找出网页类攻击的痕迹•系统进程—木马程序会在进程、端口及其库文件中留下痕迹•网络连接—在网络连接中可能找到黑客入侵痕迹蓝盾安全实验室二、网络入侵的痕迹•注册表—从中可以找到木马程序的痕迹•命名管道—可能找到黑客使用的可疑管道•内核—可能存在被入侵者改变的内核配置信息•用户信息—入侵者建立用户帐号时留下的痕迹•共享资源—入侵者建立共享连接时留下的痕迹•其他信息—在垃圾箱、程序组、注册服务等中留下的入侵痕迹蓝盾安全实验室三、手工侦查过程1、获取被入侵主机的日志、进程、注册表等相关信息2、从中找出所有与入侵行为相关的信息3、找出攻击源IP地址4、获取攻击源主机的日志、进程、注册表等相关信息肉机?攻击发起者地址被入侵主机分析日志等信息攻击源地址不是是蓝盾安全实验室三、手工侦查过程5、分析攻击源主机的日志、进程、注册表等相关信息6、判断攻击源主机是否被控制(肉机)7、如果是肉机,则找出控制源IP地址8、如果不是肉机,则为攻击者真实地址蓝盾安全实验室四、手工侦查的难点•需要侦查人员具备丰富的经验和网络安全知识•难于从海量的信息中找出真实的入侵痕迹•有的信息难于手工获取,如进程关联的端口、使用的库文件等•对肉机难于控制,如当肉机在境外时难于进一步追查•不能快速获取肉机的相关信息•当入侵痕迹被破坏时难于进行侦查被入侵主机肉机攻击发起主机蓝盾安全实验室第二部分蓝盾网络侦查&黑客追踪系统•侦查分析子系统•实时监控子系统•网络陷阱子系统•远程追踪子系统蓝盾安全实验室一、系统特点•可分析信息面广、自动化程度高•分析快速、准确可靠•可扩充性强•跨越平台广•可识别入侵类型多•人机界面友好,功能强大蓝盾安全实验室二、系统组成蓝盾安全实验室侦查分析软件网络陷阱软件远程追踪软件服务监控软件三、侦查分析子系统原理结构蓝盾安全实验室三、侦查分析子系统功能介绍•入侵痕迹分析•信息排序检索蓝盾安全实验室三、侦查分析子系统特点•可识别多达1800多种攻击手法留下的痕迹•可由用户自定义入侵痕迹规则•可分析包括日志、进程等所有可能留下入侵痕迹的计算机信息•可获取攻击源的IP地址、攻击时间、攻击效果等攻击行为信息•可给出攻击行为的危害等级•可给出攻击行为采用的攻击手法蓝盾安全实验室三、侦查分析子系统系统日志从系统日志中可找到因攻击而造成服务及应用程序异常的痕迹。蓝盾安全实验室三、侦查分析子系统系统日志蓝盾安全实验室三、侦查分析子系统系统日志蓝盾网络侦查&黑客追踪系统可分析的系统日志包括:系统日志应用程序日志安全日志DNS日志蓝盾安全实验室三、侦查分析子系统服务日志网络服务日志中包含有针对服务漏洞进行攻击的痕迹,如CGI漏洞等。蓝盾安全实验室三、侦查分析子系统服务日志蓝盾安全实验室三、侦查分析子系统服务日志蓝盾网络侦查&黑客追踪系统可分析的服务日志格式包括:MicrosoftIIS日志文件格式W3C扩充日志文件格式NCSA公用日志文件格式APACHE日志文件格式蓝盾安全实验室三、侦查分析子系统服务日志蓝盾网络侦查&黑客追踪系统可分析其日志的网络服务包括:HTTP服务FTP服务SMTP服务NNTP服务其他网络服务蓝盾安全实验室三、侦查分析子系统服务日志案例:2003年某市发生法轮功份子利用邮件服务器匿名转发漏洞大量发送发轮功邮件。蓝盾安全实验室三、侦查分析子系统文件版本文件版本信息中可能包含木马类型的入侵痕迹。蓝盾安全实验室三、侦查分析子系统文件版本蓝盾安全实验室三、侦查分析子系统文件版本案例:某些木马程序通过替换WINDOWS2000中的RUNDLL32文件来达到隐藏自己的目的,利用文件版本及大小等信息可以发现原文件与替换后的文件的不同。蓝盾安全实验室三、侦查分析子系统电子邮件电子邮件中可能包含木马及SHELL类型的入侵痕迹。蓝盾安全实验室三、侦查分析子系统电子邮件案例:在邮件中将EXE文件虚构为媒体类型,可达到通过电子邮件隐蔽植入木马程序的目的。蓝盾安全实验室三、侦查分析子系统COOKIESCOOKIES信息中可能包含网页类型的入侵痕迹。蓝盾安全实验室三、侦查分析子系统COOKIES蓝盾安全实验室三、侦查分析子系统系统进程系统进程信息中包含有木马类型的入侵痕迹。蓝盾安全实验室三、侦查分析子系统系统进程蓝盾安全实验室三、侦查分析子系统系统进程蓝盾网络侦查&黑客追踪系统可分析的系统进程内容包括:进程名CPU占用信息内存占用信息进程数句柄数其他蓝盾安全实验室三、侦查分析子系统系统进程[高级]系统进程高级信息中包含关联端口及使用的库文件等木马类型的入侵痕迹。蓝盾安全实验室三、侦查分析子系统系统进程[高级]蓝盾安全实验室三、侦查分析子系统系统进程[高级]蓝盾网络侦查&黑客追踪系统可分析的系统进程高级内容包括:进程物理程序路径使用的库文件关联的网络端口文件大小入口指针蓝盾安全实验室三、侦查分析子系统系统进程[高级]案例:如上图所示,进程svchost.exe[1000]调用了库文件MFC42.DLL,我们知道,WINDOWS的系统文件不会使用到MFC库,可见他是一个冒充系统文件的可疑进程.蓝盾安全实验室三、侦查分析子系统网络连接黑客通过网络远程控制木马程序时可以通过检查系统网络连接信息来获取可疑的网络连接端口及对应的木马蓝盾安全实验室三、侦查分析子系统网络连接蓝盾安全实验室三、侦查分析子系统网络连接网络连接信息中包含有非法访问和木马类型的入侵痕迹,蓝盾网络侦查&黑客追踪系统可通过结合系统进程[高级]中的关联端口功能,来确定木马进程,端口及其物理位置蓝盾安全实验室三、侦查分析子系统共享资源共享资源信息中可能包含有非法访问的入侵痕迹蓝盾安全实验室三、侦查分析子系统共享资源蓝盾安全实验室三、侦查分析子系统共享资源蓝盾网络侦查&黑客追踪系统提取系统的共享资源信息,由目标系统的管理员来确定非法建立的共享资源蓝盾安全实验室三、侦查分析子系统用户帐号用户帐号信息中可能包含有入侵者设置的非法访问帐号蓝盾安全实验室三、侦查分析子系统用户帐号蓝盾安全实验室三、侦查分析子系统用户帐号蓝盾网络侦查&黑客追踪系统提取系统的用户帐号信息,由目标系统的管理员来确定非法建立的用户帐号蓝盾安全实验室三、侦查分析子系统注册表注册表信息中包含有入侵者植入的木马类型的入侵痕迹蓝盾安全实验室三、侦查分析子系统注册表蓝盾网络侦查&黑客追踪系统检查的注册表信息主要包含:RUN等启动项服务项组件项蓝盾安全实验室三、侦查分析子系统其他信息的分析被入侵主机的其他信息(如回收站等)中也可能包含有入侵行为的入侵痕迹蓝盾安全实验室三、侦查分析子系统攻击源类型识别•系统通过分析攻击源计算机的日志、进程、通信等相关信息,可自动/半自动获取攻击源计算机的类型—被控制机(肉机)或控制机(入侵者的真实计算机)蓝盾安全实验室三、侦查分析子系统攻击源类型识别蓝盾网络侦查&黑客追踪系统识别攻击源类型的过程:寻找入侵痕迹分析危害性寻找主机被控制的痕迹确定控制与攻击的关联性蓝盾安全实验室四、实时监控子系统•实时监控对HTTP、FTP等服务的访问,并对访问进行安全性审查•在发生攻击性访问时发出管理员警报•在远程主机上实时备份被监控网络服务的运行、访问日志蓝盾安全实验室四、实时监控子系统原理结构蓝盾安全实验室监控访问记录分析报警监控策略四、实时监控子系统服务端蓝盾网络侦查&黑客追踪系统网络服务监控服务端由下列程序组成:监控服务程序服务管理程序蓝盾安全实验室四、实时监控子系统服务端蓝盾安全实验室四、实时监控子系统控制端蓝盾网络侦查&黑客追踪系统网络服务监控控制端执行如下操作:远程管理监控服务接收信息分析信息报警蓝盾安全实验室四、实时监控子系统控制端蓝盾安全实验室四、实时监控子系统案例:某公司的WEB服务器使用本系统监控对其服务器的访问,当黑客尝试攻击时,系统自动对访问进行了检查,并发出了攻击警报.蓝盾安全实验室五、网络陷阱子系统•在攻击行为发生时模拟被攻击的网络服务•记录对被模拟服务的全部访问,并进行安全审查蓝盾安全实验室五、网络陷阱子系统原理结构蓝盾安全实验室模拟服务分析记录报警访问五、网络陷阱子系统蓝盾安全实验室五、网络陷阱子系统蓝盾网络侦查&黑客追踪系统可模拟的网络服务包括:HTTP服务FTP服务SMTP服务POP3服务TELNET服务IMAP服务蓝盾安全实验室五、网络陷阱子系统案例:某校园网服务器受到攻击,因其访问流量太大,难于对攻击访问进行跟踪,利用网络陷阱模拟被攻击的服务,在攻击的第一时间内就抓到了攻击的来源地址及攻击手法.蓝盾安全实验室六、远程追踪子系统•根据目标的习惯等特征,通过远程追踪探头对目标进行跟踪蓝盾安全实验室六、远程追踪子系统特点•探头与控制中心采用反弹方式通信•隐藏进程•可控制通信流量•具备多种不同功能的探头•实时检查目标的网络通信蓝盾安全实验室六、远程追踪子系统原理结构蓝盾安全实验室六、远程追踪子系统由以下部分组成:•具备不同功能的远程探头组•中心控制单元蓝盾安全实验室六、远程追踪子系统远程探头负责控制目标主机并获取其信息,包括网络监听探头邮件探头多功能组合探头其他探头蓝盾安全实验室六、远程追踪子系统远程探头蓝盾安全实验室六、远程追踪子系统远程探头蓝盾安全实验室六、远程追踪子系统远程探头如图所示,系统可以获取目标主机的文件,进程,注册表,网络连接,邮件等相关信息。并可远程执行文件命令。.蓝盾安全实验室六、远程追踪子系统远程探头•远程探头的植入蓝盾网络侦查&黑客追踪系统根据目标主机的安全状况决定远程探头的植入方式手工植入半自动植入自动植入蓝盾安全实验室六、远程追踪子系统中心控制单元•负责植入/控制远程探头,并接收来自远程探头的数据信息蓝盾安全实验室七、其他功能•磁盘扇区•规则管理•分析查件管理•IP区域•工作参数蓝盾安全实验室七、其他功能磁盘扇区用于入侵痕迹被破坏时恢复入侵痕迹•对磁盘扇区进行关键字搜索•保存指定扇区的数据信息蓝盾安全实验室七、其他功能磁盘扇区蓝盾安全实验室七、其他功能规则管理•系统内置有1800多种入侵规则•用户可根据需要定义自己的入侵规则蓝盾安全实验室七、其他功能规则管理蓝盾网络侦查&黑客追踪系统的规则系统包括两类:入侵痕迹规则合法信息规则蓝盾安全实验室七、其他功能规则管理蓝盾安全实验室七、其他功能IP区域查询将IP地址与所在区域关联蓝盾安全实验室七、其他功能分析查件管理蓝盾网络侦查&黑客追踪系统的分析解码单元由一组查件组成,可动态增加不同功能的分析查件蓝盾安全实验室十二、其他功能分析查件管理蓝盾安全实验室七、其他功能工作参数管理工作路径及使用